RDS 인스턴스가 실행 중이고 인터넷에 액세스할 수 있습니다.
VPC 내의 인스턴스가 인터넷을 통하지 않고 내부적으로 연결되기를 원합니다.
다른 질문에 따르면 (https://stackoverflow.com/questions/21089582/amazon-rds-endpoint-internal) 호스트 연결 문자열은 VPC 내부에서 쿼리하는 경우 내부 IP에 매핑되어야 합니다. 이것은 작동하지 않습니다. 무슨 일이 있어도 외부 IP를 얻고 있습니다.
- VPC가 하나뿐이므로 피어링이 사용되지 않습니다.
- 사용자 정의 DHCP 옵션 세트가 있는데 여기에 문제가 있을 가능성이 높습니다.
내 VPC의 DHCP 옵션 세트는 다음과 같습니다.
domain-name = mysite.local;domain-name-servers = 10.10.51.254;
내 사용자 정의 DHCP 옵션 설정으로 인해 이것이 손상된 것 같습니다. mysite.local로컬 도메인이고 10.10.51.254로컬 바인드 서버입니다(Route53을 사용하지 않음).
내 DNS 서버에서 일종의 정방향 조회를 구성해야 합니까? us-east-1.rds.amazonaws.com아니면 어딘가에 누락된 구성이 있습니까? 나는 이것이 VPC 내에서 "자동"으로 이루어져야 한다고 생각했기 때문에 틀린 것 같습니다.
답변1
따라서 여기서 문제는 실제로 Amazon이 제공한 DNS가 아닌 개인 DNS 서버를 사용하고 있다는 것입니다. 이러한 AWS 서비스에 대해 도메인 조회가 발생하는 데 도움이 되는 "Amazon의 자동 VPC 마법"이 진행되고 있지 않습니다(제가 잘못 가정한 것입니다).
여기서 비밀은 Amazon 제공 DNS를 사용하지 않더라도 VPC의 DNS 서버에 대해 조회를 수행할 수 있다는 것입니다.
VPC가 다음과 같이 설정되어 DNS resolution있는 DNS hostnames경우YES그런 다음 VPC CIDR 블록 +2의 기본 주소에 있는 VPC의 DNS 서버에서 조회를 수행할 수 있습니다. 따라서 VPC가 10.10.0.0/16DNS 조회 주소는 입니다 10.10.0.2. Amazon 문서를 통해 수행하는 모든 DNS 검색에는 Route 53 항목이 넘쳐나기 때문에 이것을 찾아보면 공식 문서에 있는지 확실하지 않습니다.
이제 작동 중인 DNS 정방향 조회가 있으므로 바인드 서버에 전달 조회를 추가하기만 하면 됩니다. 여기서 중요한 점은 RDS 인스턴스의 호스트 이름이 실제로 CNAME 조회라는 것입니다.
예를 들어:
user@host:~$ nslookup mydb.cvxj3uli9kc.us-east-1.rds.amazonaws.com
Server: 10.10.51.254
Address: 10.10.51.254#53
Non-authoritative answer:
mydb.cvxj3uli9kc.us-east-1.rds.amazonaws.com canonical name = ec2-34-204-131-19.compute-1.amazonaws.com.
Name: ec2-34-204-141-206.compute-1.amazonaws.com
Address: 34.204.131.19
조회는 실제로 CNAME 레코드이므로 compute-1.amazonaws.com둘 다에 전달 규칙이 필요합니다.
요약:내 VPC의 CIDR이 다음과 같다면 10.10.0.0/16내 문제를 해결하고 이 질문에 답한 전달 블록의 예는 다음과 같습니다.
zone "mydb.cvxj3uli9kc.us-east-1.rds.amazonaws.com" {
type forward;
forward only;
forwarders { 10.10.0.2; };
};
zone "compute-1.amazonaws.com" {
type forward;
forward only;
forwarders { 10.10.0.2; };
};
이제 로컬 VPC의 모든 서비스는 RDS 인스턴스의 프라이빗 IP를 조회할 수 있으며 퍼블릭 확인도 여전히 VPC 외부에서 작동합니다.